【導(dǎo)讀】逐漸加快，以網(wǎng)絡(luò)經(jīng)濟(jì)為主要特征的新經(jīng)濟(jì)形態(tài)正在發(fā)展和壯大?；鐣?huì)的基礎(chǔ)和基石。府管理體系也具有明顯的推動(dòng)作用。實(shí)施電子政務(wù)，可以加強(qiáng)政府與民眾的溝通；改善政府的公共服務(wù)，克服官僚作風(fēng)、遏制權(quán)力腐敗。因此，如何運(yùn)用先進(jìn)的信。成為我國(guó)政府越來(lái)越緊迫的一項(xiàng)工作。本文所介紹的電子政務(wù)解決方案，正是嚴(yán)格遵守國(guó)家相關(guān)規(guī)范和國(guó)際標(biāo)準(zhǔn)。既能夠適應(yīng)當(dāng)今最先進(jìn)的技術(shù)潮流，又能滿(mǎn)足我國(guó)電子政務(wù)應(yīng)用需求的方案。一規(guī)劃、共同建設(shè)、加強(qiáng)協(xié)調(diào)、講求實(shí)效，資源共享、安全保密”為設(shè)計(jì)原則，在此基礎(chǔ)上形成的“網(wǎng)絡(luò)信息化硬件平臺(tái)和政務(wù)自動(dòng)化工作環(huán)境”。中心數(shù)據(jù)庫(kù)，實(shí)現(xiàn)數(shù)據(jù)在全局意義上的動(dòng)態(tài)性、一致性和完整性。息，此類(lèi)信息處理和傳遞的任何環(huán)節(jié)如果出現(xiàn)漏洞，其損失將是巨大的。系統(tǒng)的安全性將是十分重要的原則。需要重點(diǎn)考慮的問(wèn)題。護(hù)，且能解決具體的實(shí)際問(wèn)題。在保證系統(tǒng)性能并達(dá)到要求的前提下，盡量使系

　　

【正文】 理員。一般情況下包括：注冊(cè)管理員、審核管理員、授權(quán)管理員、審計(jì)管理員 、目錄服務(wù)管理員等。 注冊(cè)、 審核管理員 ： 審核管理員 負(fù)責(zé)管理、維護(hù)系統(tǒng)的注冊(cè)管理中心，審核用戶(hù)提出的各種請(qǐng)求。其功能主要包括：注冊(cè)新用戶(hù)、注銷(xiāo)用戶(hù)、查詢(xún)審核用戶(hù)注冊(cè)請(qǐng)求、查詢(xún)審核用戶(hù)注銷(xiāo)請(qǐng)求、查詢(xún)審核用戶(hù)證書(shū)請(qǐng)求、查詢(xún)審核用戶(hù)證書(shū)撤消請(qǐng)求、查詢(xún)用戶(hù)證書(shū)、查詢(xún)證書(shū)撤消列表等 授權(quán)管理員： 授權(quán)管理員由超級(jí)管理員指定，接受超級(jí)管理員的管理。他可以對(duì)應(yīng)用系統(tǒng)的權(quán)限、角色進(jìn)行管理。其功能包括：查詢(xún)授權(quán)屬性信息、修改授權(quán)屬性、添加授權(quán)屬性、刪除授權(quán)屬性、授權(quán)策略管理等 審計(jì)管理員： 審計(jì)管理員由超級(jí)管理員指定，接受超級(jí)管理 員的管理。他擁有對(duì)系統(tǒng)日志的操作權(quán)限。其功能包括：查詢(xún)?nèi)罩?、備份日志、刪除日志、報(bào)表生成、事件統(tǒng)計(jì)、事件追蹤、系統(tǒng)告警處理等 目錄管理員： 目錄管理員的主要職責(zé)是批量或單個(gè)地向目錄中添加或刪除用戶(hù)證書(shū)。然后由注冊(cè)管理員或超級(jí)管理員對(duì)這些用戶(hù)進(jìn)行賦予權(quán)限或取消權(quán)限的工作。目錄管理員還可以在需要的時(shí)候改變用戶(hù)的 DN、添加或刪除目錄屬性。其功能包括：查找用戶(hù)、添加用戶(hù)（單個(gè) /多個(gè)）、刪除用戶(hù)（單個(gè) /多個(gè)）、修改用戶(hù) DN（單個(gè) /多個(gè)）、添加目錄屬性、刪除目錄屬性、改變根目錄等。 運(yùn)行管理體制支持 作為電子政務(wù)系 統(tǒng)的安全平臺(tái)， CNSec 密鑰和證書(shū)管理系統(tǒng)的運(yùn)營(yíng)需要嚴(yán)格的管理制度，以約束日常運(yùn)營(yíng)管理人員提供安全意識(shí)，保證系統(tǒng)正常提供服務(wù)。 建立一個(gè)完善的體制是安全平臺(tái)在樂(lè)清電子政務(wù)系統(tǒng)種安全、穩(wěn)定運(yùn)行的基本條件。在體制的建立上，主要有以下幾方面的考慮： （ 1）、建立安全專(zhuān)家制度，由安全專(zhuān)家組負(fù)責(zé)安全平臺(tái)管理事務(wù)。同時(shí)，安全專(zhuān)家負(fù)責(zé)監(jiān)督安全平臺(tái)的運(yùn)營(yíng)，提出意見(jiàn)，供決策者使用。 （ 2）、建立完善的內(nèi)部權(quán)力分配與制約制度。把管理員按安全級(jí)別及職責(zé)進(jìn)行劃分。有效的分權(quán)可以降低風(fēng)險(xiǎn)，而必要制約制度可以防止因?yàn)槿藛T因素造成的安全 隱患。 （ 3）、建立詳細(xì)的操作制度，減少內(nèi)部隱患。同時(shí)，可以使內(nèi)部人員明確權(quán)責(zé)。對(duì)于敏感操作（涉及重大安全問(wèn)題的操作）應(yīng)該盡可能地完善制度。 （ 4）、建立內(nèi)部審核制度，提前發(fā)現(xiàn)問(wèn)題，解決問(wèn)題。審核的內(nèi)容應(yīng)該包括：操作系統(tǒng)的日志、密鑰和證書(shū)管理系統(tǒng)的日志、數(shù)據(jù)庫(kù)的日志、網(wǎng)絡(luò)訪(fǎng)問(wèn)的日志以及相關(guān)的檢測(cè)、監(jiān)測(cè)程序日志。 （ 5）、建立事故處理制度，及時(shí)解決問(wèn)題。 （ 6）、建立文檔備份制度，發(fā)生事故或者糾紛時(shí)有據(jù)可查。 （ 7）、合理安排人員并確保必要的培訓(xùn)。 授權(quán)系統(tǒng)： 管理用戶(hù)的授權(quán)屬性，發(fā)放授權(quán)證書(shū)，為訪(fǎng)問(wèn)控制系統(tǒng)提 供用戶(hù)授權(quán)的基本信息 授權(quán)證書(shū)： 授權(quán)系統(tǒng)的核心是授權(quán)證書(shū)。所謂授權(quán)證書(shū)，就是由授權(quán)中心簽發(fā)的將用戶(hù)與其享有的權(quán)力屬性捆綁在一起的數(shù)據(jù)結(jié)構(gòu)。權(quán)力屬性的定義依應(yīng)用的不同而不同，如級(jí)別、角色等等。應(yīng)用系統(tǒng)根據(jù)授權(quán)證書(shū)的屬性判斷用戶(hù)的訪(fǎng)問(wèn)能力，實(shí)施訪(fǎng)問(wèn)控制。授權(quán)證書(shū)的有效期很短，并且是在用戶(hù)申請(qǐng)時(shí)臨時(shí)生成的。用戶(hù)必須獲得授權(quán)證書(shū)后才能訪(fǎng)問(wèn)應(yīng)用系統(tǒng)，系統(tǒng)可通過(guò)授權(quán)中心實(shí)現(xiàn)對(duì)用戶(hù)、對(duì)資源的集中管理。 授權(quán)證書(shū)的格式如下： 字段 含義 版本 主體名稱(chēng) 該授權(quán)證書(shū)的持有者 發(fā)行者 頒發(fā)本 AC 的 AA 名稱(chēng) 發(fā)行者唯一標(biāo)識(shí)符 頒發(fā)本 AC 的 AA 的唯一標(biāo)識(shí)符（比特串） 簽名算法 序列號(hào) 有效期 屬性 持有者所具有的權(quán)力屬性 擴(kuò)展域 授權(quán)系統(tǒng)的體系結(jié)構(gòu)： C N Sec 密鑰與證書(shū)管理中心 授權(quán)中心 授權(quán)管理員，即 負(fù)責(zé)的業(yè)務(wù)人員 用戶(hù) 用戶(hù) 用戶(hù) 用戶(hù) 授權(quán)中心 授權(quán)中心 為了很好的適應(yīng)政府辦公系統(tǒng)的實(shí)際，減少驗(yàn)證層次，提高系統(tǒng)效率， CNSec授權(quán)系統(tǒng)采用相對(duì)簡(jiǎn)單的三層體系結(jié)構(gòu)。由密鑰和證書(shū)管理中心對(duì)授權(quán)中心進(jìn)行授權(quán)，確認(rèn)其身份，確定其合法性。這種結(jié)構(gòu)體現(xiàn)了政府系統(tǒng)集中管理的要求。 授權(quán)中心負(fù)責(zé)為具體用戶(hù)管理授權(quán)證書(shū)，包括用戶(hù)屬性的維護(hù)和發(fā)放授權(quán)證書(shū)，授權(quán)管理員即相應(yīng)業(yè)務(wù)的負(fù)責(zé)人員管理用戶(hù)在具體業(yè)務(wù)應(yīng)用中的授權(quán)屬性。用戶(hù)個(gè)體也就是在密鑰和證書(shū)管理系統(tǒng)所管理的用戶(hù)，只有合法用戶(hù)才能夠被發(fā)放授權(quán)證書(shū)。基于集中管理的設(shè)計(jì)思想，用戶(hù)的臨時(shí)權(quán)限委托也 由授權(quán)中心負(fù)責(zé)管理，在流程上，由用戶(hù)提出授權(quán)委托的申請(qǐng)，在管理員審批或系統(tǒng)自動(dòng)審判后實(shí)現(xiàn)被委托權(quán)限的授予。授權(quán)管理系統(tǒng)在實(shí)際應(yīng)用中的運(yùn)作需要依據(jù)應(yīng)用系統(tǒng)的實(shí)際建設(shè)情況：（ 1）、在整個(gè)電子政務(wù)系統(tǒng)具有統(tǒng)一規(guī)劃的情況下，如果多個(gè)應(yīng)用系統(tǒng)采用了統(tǒng)一的用戶(hù)授權(quán)，可以在授權(quán)中心采用統(tǒng)一的授權(quán)屬性（如用戶(hù)在整個(gè)系統(tǒng)中的角色、級(jí)別等），對(duì)用戶(hù)屬性信息的管理可以由全系統(tǒng)統(tǒng)一的授權(quán)管理員負(fù)責(zé)，與對(duì)具體資源的訪(fǎng)問(wèn)控制管理分離（ 2）、如果各個(gè)應(yīng)用系統(tǒng)的建設(shè)是互不相關(guān)的，則需要在授權(quán)中心采用與應(yīng)用相關(guān)的授權(quán)屬性（如用戶(hù)在各個(gè)具體應(yīng) 用中的角色、級(jí)別等），授權(quán)管理需要與應(yīng)用系統(tǒng)資源管理相結(jié)合，授權(quán)管理員也就是具體應(yīng)用系統(tǒng)的資源訪(fǎng)問(wèn)控制管理員。在政務(wù)系統(tǒng)中，兩種情況并存。在今后的建設(shè)中，應(yīng)逐步由第二種情況向第一種情況轉(zhuǎn)化。 電子政務(wù)系統(tǒng)按內(nèi)網(wǎng)，外網(wǎng)和涉密網(wǎng)建設(shè)。各網(wǎng)之間的隔離主要是邏輯隔離，基礎(chǔ)網(wǎng)絡(luò)建設(shè)共包含三個(gè)部分： 內(nèi)網(wǎng)： 包括市政府大樓內(nèi)部辦公網(wǎng)和向上聯(lián)結(jié)市政府、向下聯(lián)結(jié)市府大樓外的直轄業(yè)務(wù)部門(mén)及遠(yuǎn)程撥號(hào)訪(fǎng)問(wèn)用戶(hù)的廣域網(wǎng)絡(luò)；與外網(wǎng)邏輯隔離。 外網(wǎng)： 外網(wǎng)接入 Inter，實(shí)現(xiàn)政府信息發(fā)布、政務(wù)公開(kāi)、移 動(dòng)辦公及內(nèi)部用戶(hù)上網(wǎng)。 涉密網(wǎng)： 安全要求很高的辦公專(zhuān)網(wǎng)。 內(nèi)網(wǎng)系統(tǒng) 結(jié)合市政府的各大樓分布，設(shè)計(jì)采用采用核心層 接入層的結(jié)構(gòu)，在中心配置高性能的核心交換機(jī)，在樓層及各辦公大樓配置接入交換機(jī)，交換機(jī)之間能過(guò)千兆網(wǎng)級(jí)聯(lián)。雙機(jī)熱備的高可靠系統(tǒng)內(nèi)部網(wǎng)絡(luò)根據(jù)不同的部門(mén)及其應(yīng)用進(jìn)行邏輯隔離。首先在樓層交換機(jī)根據(jù)部門(mén)的不同劃分不同的 VLAN，同時(shí)所有的 VLAN與中心交換機(jī)上的 VLAN 相對(duì)應(yīng)，所有部門(mén)間的 VLAN 不能進(jìn)行數(shù)據(jù)交換；核心交換機(jī)根據(jù)應(yīng)用的情況，通過(guò)路由及訪(fǎng)問(wèn)策略對(duì) VLAN 進(jìn)行訪(fǎng)問(wèn)控制，允許各部門(mén)訪(fǎng)問(wèn)核心 防火墻，通過(guò)核心防火墻的控制后再訪(fǎng)問(wèn)資源庫(kù)中的服務(wù)器。資源庫(kù)中的服務(wù)器在同一個(gè) VLAN 中，它與其它 VLAN 都是不通的，要訪(fǎng)問(wèn)資源網(wǎng)里的服務(wù)器，必須經(jīng)過(guò)防火墻的相應(yīng)規(guī)則控制。在核心防火墻中，有一個(gè)端口與外網(wǎng)的交換機(jī)聯(lián)接，提供內(nèi)部用戶(hù)訪(fǎng)問(wèn) Inter。 Inter 上的用戶(hù)不能訪(fǎng)問(wèn)資源網(wǎng)及內(nèi)部辦公網(wǎng)絡(luò)。 目前在內(nèi)網(wǎng)實(shí)現(xiàn)政府內(nèi)部辦公管理和部門(mén)之間信息共享，提供政務(wù)網(wǎng)上用戶(hù)訪(fǎng)問(wèn)市公開(kāi)政務(wù)信息，對(duì)重要信息的訪(fǎng)問(wèn)，必須經(jīng)過(guò) CA 認(rèn)證。辦公系統(tǒng)平臺(tái)主要選用文檔型數(shù)據(jù)庫(kù)和關(guān)系型數(shù)據(jù)庫(kù)開(kāi)發(fā)，所有應(yīng)用均由 JAVA 技術(shù)實(shí)現(xiàn)， 提供了很好的移植性及標(biāo)準(zhǔn)的接口。先進(jìn)實(shí)用的 B/S 結(jié)構(gòu)，為網(wǎng)上辦事，事務(wù)公開(kāi)，移動(dòng)辦公提供了保障。 外網(wǎng)系統(tǒng) 外網(wǎng)系統(tǒng)是市政府與外界溝通的窗口，主要建設(shè)系統(tǒng)有政府門(mén)戶(hù)網(wǎng)站、郵件系統(tǒng)、多媒體服務(wù)系統(tǒng)及相關(guān)配套系統(tǒng)。 公眾可以通過(guò) inter 訪(fǎng)問(wèn)政府門(mén)戶(hù)網(wǎng)站及建立郵件系統(tǒng)，外網(wǎng)防火墻的屏蔽內(nèi)部所有網(wǎng)絡(luò)，不能對(duì)外網(wǎng)服務(wù)器進(jìn)行直接操作。根據(jù)防火墻規(guī)則的設(shè)定，外網(wǎng)只能訪(fǎng)問(wèn) Web 的 80 端口、 Mail 服務(wù)器的 25 及 110 端口、視頻點(diǎn)播服務(wù)器端口。外網(wǎng)防火墻同時(shí)也是代理內(nèi)部上網(wǎng)的服務(wù)器。對(duì)于本單位內(nèi)部的成員需要進(jìn)行 移動(dòng)辦公時(shí)，首先他要有管理員發(fā)給他的 CA 證書(shū)或硬件加密設(shè)備，連接到政府門(mén)戶(hù)網(wǎng)站，通過(guò) WEB 服務(wù)器的接口程序從內(nèi)網(wǎng)的 CA 服務(wù)器取得認(rèn)證和授權(quán)，才能進(jìn)行遠(yuǎn)程辦公，訪(fǎng)問(wèn)資源網(wǎng)數(shù)據(jù)及相關(guān)信息。